收藏 分享(赏)
下载资源 加入VIP,免费下载

认证系统与数字证书.ppt

上传人:kpmy5893 文档编号:12183020 上传时间:2021-10-26 格式:PPT 页数:13 大小:221KB
下载 相关 举报
认证系统与数字证书.ppt_第1页
第1页 / 共13页
认证系统与数字证书.ppt_第2页
第2页 / 共13页
认证系统与数字证书.ppt_第3页
第3页 / 共13页
认证系统与数字证书.ppt_第4页
第4页 / 共13页
认证系统与数字证书.ppt_第5页
第5页 / 共13页
点击查看更多>>
资源描述

1、Kerberos认证系统与数字证书,概论,一 概论 分布式环境下存在的问题 (1)某一用户已接入一工作站,企图冒充其他用户利用该工作站请求服务。 (2)某一用户对往来信息进行窃听,然后重放它,达到破坏和扰乱的目的。 (3)用户更改工作站的网络地址,从改变了地址的工作站冒充别的工作站,请求服务。 Kerberos认证系统的基本符号 C:客户 AS:认证服务器 V:服务器 IDc:客户名称 IDv:服务器名称 Pc:客户的口令 ADc:客户的网址 kv:AS和V共享的密钥,概论,最简单的认证模式 S1 C-AS:( IDc,Pc,IDv) S2 AS-C: Ticket=EkvIDc,ADc,ID

2、v S3 C-V: IDc,Ticket,证书Ticket用密钥kv加密以防止伪造和更改。IDc包含在证书中说明:证书的合法拥有者是C。ADc附在证书上是防止攻击者截获证书,在别的工作站上将它重发,达到非法接入服务器的目的。即证书发来的地址必须要和证书中的地址一致才有效。 上述协议解决了一些问题,但也暴露出一些弱点。例如口令用明文形式传输不安全。特别是传输频繁时,容易被窃听者截获用来作假。而且一份证书只使用一次,每次申请服务时,要每次申请证书,多次重复执行上述过程。为此我们引入TGS服务器,TGS是Ticket-Granting Server的缩写,意即发放证书的服务器。,Kerberos认证

3、系统,二 Kerberos认证系统 一个Kerberos环境包含一个kerberos服务器,若干客户,以及一些应用服务器。Kerberos服务器将客户的ID和口令存储在它的数据库里,即所有客户在Kerberos服务器都进行了注册。应用服务器也在Kerberos服务器进行了注册,即有应用服务器的服务名和启动帐户(ID和口令)所有的口令在Kerberos服务器上不是明码存储的,而是一个加密的口令(例如口令的Hash值),这称为客户或应用服务器的秘密密钥。 Kerberos服务器包含AS(Authentication Server)和TGS(Ticket-Granting Server)两部分,即认

4、证服务器和票据发放服务器。,Kerberos认证系统,Kerberos协议,C,V,TGS,AS,数据库,S1,S2,S3,S4,S5,S6,Kerberos认证系统,Kerberos协议第4版本 S1 C -AS:( IDc,IDtgs,TS1) S2 AS - C:( Ekc(kc,tgs,IDtgs,TS2,LT2,Tickettgs) Tickettgs=Ektgs(kc,tgs,IDc,ADc,IDtgs,TS2,LT2) S3 C - TGS:( IDv,Tickettgs,Authenticatorc) Authenticatorc=Ekc,tgs(IDc,ADc,TS3) S4

5、 TGS -C:( Ekc,tgs (kc,v,IDv,TS4,Ticketv) Ticketv=Ekv(kc,v,IDc,ADc,IDv,TS4,LT4),Kerberos认证系统,S5 C-V: (Ticketv,Authenticatorc) Authenticatorc=Ekc,v(IDc,ADc,TS5) S6 V-C:Ekc,v(TS5+1),数字证书的管理,CA的概念(Certificate Authority) CA就是发放数字证书的权威机构,所有参与电子商务的交易者都信赖该机构,接受它颁发的数字证书。 数字证书 数字证书也叫公开密钥证书,它是经过公开密钥算法数字签名后得到的证

6、书。它的核心是对每一用户的公钥进行认证。认证由CA完成。数字证书的结构在X.509协议中进行了规范。,数字证书的管理,数字证书的格式,数字证书的管理,数字证书的格式 (1)版本 区分不同年份的数字证书版本 (2)序号 有CA对每一证书所给予的一种特殊编码 (3)算法标志符 用来给证书作数字签名的方法和有关参数 (4)发证者名称 签发证书的CA名称 (5)有效期 包含证书开始和终了时间 (6)证书负责人 该证书的用户姓名 (7)用户用的公钥 包括算法的标识符及相关参数 (8)证书发放者的标志符 (9)用户标志符 (10)扩充 为以后附加字段作准备 (11)签名 对证书的其他部分的Hash函数值用CA的私人密钥进行签名,数字证书的管理,数字证书用于通信 如果A想要与B进行保密通信,他首先应从公共目录数据库中取出B的证书获取B的公钥。但这个证书(公钥)究竟是不是用户B的证书?所以他要进行验证。 如果A和B的证书由同一个CA签发,由对方的证书很容易对双方的公钥进行验证。因为他们都掌握发证机关CA的公钥,利用它来对证书进行验证。,数字证书的管理,数字证书用于通信 如果A和B的证书不是由同一个CA签发,情况又如何呢?,CA1,CA2,CA3,CA4,CA5,A,B,数字证书的管理,小结 1 概论 2 Kerberos认证系统 3 数字证书的管理,

展开阅读全文
相关资源
猜你喜欢
相关搜索
资源标签

当前位置:首页 > 企业管理 > 管理学资料

本站链接:文库   一言   我酷   合作

客服QQ:2549714901微博号:道客多多官方知乎号:道客多多

经营许可证编号: 粤ICP备2021046453号世界地图

道客多多©版权所有2020-2025营业执照举报